allora ti faccio un esempio semplicissimo a caso.
Ho appena aperto notepad sul mio pc,
bene, se vado a vedere quali DLL sicuramente notepad deve avere in memoria e controllo poi quali EFFETTIVAMENTE ci sono caricate nel suo spazio di indirizzi, cosi a colpo d'occhio vedo subito che ci sono sicuramente 3 dll inaspettate. 1 sembra una dll di patching probabilmente di una service pack di windows, te l'aspettavi?
Un'altra è una dll della synaptics per via del mio touchpad visto che sono su un portatile, te l'aspettavi?
e la terza è una dll di un tool di utilità che normalmente si installa insieme ai drivers sui portatili della Lenovo come quello che sto usando io ora, te l'aspettavi?
Capisci quello che intendo?
Se ti limiti a verificare se ci sono dll in memoria che non ti aspettavi, non puoi avere la certezza che siano "indesiderate", devi avere qualche altro modo per identificarla.
Secondo me il sistema migliore resta sempre quello di intercettare l'injecting e non far "entrare" nessuna dll nuova, che sia quella che lui non vuole che si inietti o che sia di qualche tool di terze parti come accade nel mio notepad poco cambia, probabilmente il programma funzionerà lo stesso (magari con qualche funzionalità in meno ad es nel mio caso con il touchpad) ma almeno è sicuro che anche la dll indesiderata non verrà caricata